快捷搜索:

您的位置:环球彩票登陆 > 环球彩票登陆 > 斯雪明教授:如何回答高发的区块链安全主题素

斯雪明教授:如何回答高发的区块链安全主题素

发布时间:2019-11-22 02:25编辑:环球彩票登陆浏览(135)

    首先是算法安全性。目前密码货币的算法是相对安全的。但是随着数学、密码学和计算基数的发展会变得越来越脆弱,况且区块链中的密码算法在使用过程中也存在问题。另外,量子计算对现有公钥密码带来的影响是颠覆性的,2017年IBM宣布成功搭建和测试了两种新机器。当然,算法方面也曾出现过随机数漏洞事件,比如2014年12月,blockchain.info爆出随机数问题。

    另外,针对上边提到的五个安全漏洞,下面,我们分别从五个维度:算法、协议、实现、使用、系统的角度,对区块链的安全性进行分析。

    1.密码学步入公众领域

    密码学追溯历史可到古巴比伦时代,有数千年的历史,然主要应用于军事、外交和情报领域,密码学进入公众领域,还源于两件事:

    1. 标准加密系统——数据加密标准的诞生;
    2. 公钥加密算法(也称非对称加密算法)的发明。

    第二个是使用安全性分析。目前存在以下问题,比如私钥托管容易造成监守自盗以及黑客盗取;区块链钱包的口令存在被恢复的危险;私钥一旦丢失,便无法对账户的资产做任何操作。最重要的是所有的数字货币系统,比如2017年12月,朝鲜黑客攻击了韩国加密货币交易所,导致价值76亿韩元的加密货币被盗。

    为什么要发展自主可控的区块链技术有以下个原因:

    5.区块链中的密码

    在比特币区块链的整个体系中,大量使用了公开的加密算法,如Merkle Tree哈希数算法,椭圆曲线算法、哈希算法、对称加密算法及一些编码算法。各种算法在比特币区块链中的作用如下:

    1. 哈希算法
      比特币系统中使用的两个哈希函数分别是:1.SHA-256,主要用于完成PoW(工作量证明)计算;2.RIPEMD160,主要用于生成比特币地址。
    2. Merkle哈希树
      基于哈希值的二叉树或多叉树,在计算机领域,Merkle树大多用来进行完整性验证处理,在分布式环境下,其进行完整性验证能大量减少数据传输和计算的复杂程度。
    3. 椭圆曲线算法
      比特币中使用基于secp256k1椭圆曲线数学的公钥密码学算法进行签名与验证签名,一方面可以保证用户的账户不被冒名顶替,另一方面保证用户不能否认其所签名的交易。用私钥对交易信息签名,矿工用用户的公钥验证签名,验证通过,则交易信息记账,完成交易。
    4. 对称加密算法
      比特币官方客户端使用AES(对称分组密码算法)加密钱包文件,用户设置密码后,采用用户设置饿密码通过AES对钱包私钥进行加密,确保客户端私钥的安全。
    5. Base58编码
      Base58是比特币使用的一种独特的编码方式,主要用于产生比特币的钱包地址,其类似于古典密码学里的置换算法机制,目的是为里增加可读性,把二进制的哈希值变成了我们看到的地址“177rNLTxYAaXqTrrJPRsQNxvR9a1gF5P3K”。

    在近日上海召开的区块链应用研讨会上,中国科学数据处理联盟执行委员会主任、上海市数据科学重点实验室副主任、解放军信息工程大学斯雪明教授受邀作了题为《区块链与系统安全》报告。报告总共分成三部分:区块链的安全挑战、系统安全性分析、安全性威胁应对方法。

    • 2015年,Garay 等人利用形式化的方式对比特币的核心内容进行了分析;
    • 2018年,欧密会上Christian Badertscher等人改变了假设条件,对比特币进一步进行了形式化分析。

    环球彩票登陆 1

    第二,从可用性来说,每个副本节点保存相同的数据,保证了数据的可用性,多方共识机制保证了交易信息的可用性。

    • 2017年11月12日,IBM宣布基于 20 量子比特的量子计算机,可在年底向客户开放,同时,基于50量子比特的量子计算机原理样机也将开放。
    • 2018年3月6日,google发布基于72量子比特的量子计算机“Bristlecone”,量子计算的出现将对现有密码体制带来颠覆性的影响。

    图片来自网络

    那么,我们应该如何面对这些安全问题?

    我们可以看到,一行代码使得 60亿的市值归零,这是非常严重的安全问题。

    4.各加密算法特点

    1.古典密码学:其算法归根结底主要有两种,即:置换和替换;其安全性依赖于算法的保密性,整体安全性不高。

    2.对称加密:加密算法和解密算法都是同一种模式,只用一把密钥保证加密数据的安全;甲必须把密钥告诉乙,否则乙无法解密,那么保存和传递密钥,成为最头痛的问题。

    3.非对称加密:有一对密钥,即:公开密钥和私有密钥,用公钥对数据进行加密后,只有对应的私钥能解密,反之亦然,通信双方无须交换密钥,就可以建立保密通信。

    4.哈希算法:输入x可以是任意长度的字符串,输出结果,即H(x)的长度是固定的。其可以具有免碰撞;隐匿性;不存在比穷举更好的方法,以使哈希结果H(x)落在特定的范围。

    第三从实现安全性分析。国家互联网应急中心在2016年10月曾选取了25款具有代表性的区块链软件进行检测,在代码层面发现高危安全漏洞和安全隐患共746个,所以区块链的代码安全性是非常令人担忧的。此外,还有去年11月的parity钱包事件,就是由于误操作,库代码被抹掉掉,导致多重签名智能合约无法使用。

    • 第一:我国网络安全面临严峻挑战,网络安全攻强守弱的局面没有得到根本改变
    • 第二:区块链的安全问题十分突出。
    • 第三:中兴事件再一次表明,在当前复杂多变的国际环境下,我们必须发展自主可控的技术,以免受制于人。
    • 第四:我们以前说的安全可控主要是从安全的角度来讲,中兴事件给我们敲响了警钟,不仅是网络安全的问题。

    参考资料

    [1].邹均,张海宁.区块链技术指南[M].北京:机械出版社,2016.11
    [2].长铗,韩锋.区块链从数字货币到信用社会[M].北京:中信出版社,2016.7
    [3].张健.区块链定义未来金融与经济新格局[M].北京:机械工业出版社,2016.6

    最后针对黑客的攻击,我们在终端提出了拟态防御的方法。上图为拟态防御的架构模型,拟态防御是一项技术,在上海政府的支持下,由信息工程机械大学团队联合上海高校和科研机构取得了重大的突破。利用拟态防御技术,我认为对于提高区块链系统安全性会起到非常好的作用。

    环球彩票登陆 2使用安全性

    6.小结

    区块链通常不直接保存原始数据或交易记录,而是保存哈希函数值;Merkle树是区块链重要的数据结构,实现快速归纳和校验区块数据的存在性和完整性;采用椭圆曲线公钥密码系统实现区块链的数据签名。

    以下是演讲原文,雷锋网作了不改变原意的编辑:

    协议安全性。PoW共识存在51%攻击的缺陷自私挖矿等攻击放大了此缺陷,PoS共识及其变型共识存在长链攻击以及共识垄断的缺陷,现有共识算法缺乏安全性证明,以DAG和Hashgraph为代表的自带共识的新型分布式账本系统容易受到内部攻击和外部黑客攻击,同时存在中心化风险。然而,一个好的区块链系统,我们希望它是去中心化的。

    2. 密码学发展历程

    密码学按算法思想可分为:古典密码学、现代密码学、公钥密码学。

    1949年以前,安全性基于加密算法的保密性,统称为古典密码学;
    1949年,香农的信息论诞生为标志,密码学步入现代密码学阶段,基于复杂计算的密码学,其是一种对称加密算法;
    1976年,Whitfield Diffie和Martin Hellman提出公钥密码机制,可以在不直接传递密钥的情况下,完成密文的解密,1978年,RSA公钥密码机制出现,开启一个新的里程碑,公钥密码是非对称加密算法。

    针对算法安全性,可以采用抗量子算法,如基于格的签名算法,或者采用盲签名、环签名、聚合签名、多重签名侧、门限签名策略,总之是要采用新的、本身经得起考验的密码技术。

    使用安全性方面,包括冷钱包、多因素验证钱包、物理随机数生成、私钥单一性使用等措施,还要注意不使用未经验证的智能合约及其它代码、谨慎对待多重签名等新型签名机制、选择可靠交易所。

    3.密码学原则

    如今密码学得到很好的发展,其相关技术深入各个领域,但理论共识都遵循奥古斯特.柯克霍夫19世纪提出的“柯克霍夫原则”,即:

    密码系统应该就算被所有人知道其运作步骤,它仍然是安全的。即算法是公开的,唯一需要保护的是密钥。

    算法的安全性被攻破有两种可能:

    1. 算法本身的漏洞,不需要密钥就能破解算法;
    2. 在可接受的时间范围内暴力破解。

    目前区块链面临的主要安全问题有私钥的生成与保护、共识过程的中心化、智能合约代码漏洞、签名过程算法漏洞、系统实现代码漏洞等。

    环球彩票登陆 3实现安全性

    他指出,目前区块链面临的主要安全问题有私钥的生成与保护、共识过程的中心化、智能合约代码漏洞、签名过程算法漏洞、系统实现代码漏洞等。例如,据雷锋网了解,2016年6月17日,黑客攻击了众筹超过1.5亿美元的分布式自治组织 THE DAO,导致项目失败。2016年8月2日因为多重签名漏洞,香港比特币交易所bitfines大约价值7000万美元的比特币被盗。“交易所的安全性尚且不能保障,个人私钥的安全性也存在较高风险。”

    工信部信息中心发布《2018年中国区块链产业发展白皮书》,报告显示,我国以区块链业务为主营业务的区块链公司数量达456家,从上游的硬件制造、平台服务、安全服务,到下游的产业技术应用服务,到保障产业发展的行业投融资、媒体、人才服务,各领域的公司已经基本具备。

    分析区块链安全性,需要从综合安全性、算法安全性、使用安全性、实现安全性以及协议安全性五方面进行分析。

    我们将区块链划分成交易模块、共识模块和链接模块,且三者之间相互关联。

    从保密性来说,以公钥的变型作为交易地址,为用户提供了保密性;零知识证明、环签名等为交易提供了保密性,比如Zcash和门罗币;同态加密对数据提供了保密性;属性基家解密,实现对系统的保密性、分权处理。总的来说,区块链系统大量应用了密码学前沿技术。

    算法安全性。针对量子攻击,我们要进行后量子密码算法的研究,包括后量子密码算法、后量子密码算法效率提升、后量子密码算法敏捷性提前部署、后量子密码算法工程实现。同时,我们要对现有的密码算法采用经验证的密码算法,不使用未经时间验证的密码算法、不使用原创密码算法、不使用原创密码算法参数、不叠加使用密码算法。

    针对协议安全性,POW中使用防ASIC杂凑函数,使用更有效的共识算法和策略。

    2018-02-05 亿欧 复旦大学斯雪明:区块链的安全性在整个区块链应用落地中是最重要的 | 作者:斯雪明,解放军信息工程大学、复旦大学教授。

    环球彩票登陆 4

    环球彩票登陆 5复旦大学教授斯雪明作题为《区块链系统安全与自主可控》的报告

    第三,从完整性来说,签名验证算法保证了交易的完整性,链式结构保证了数据的完整性,高度同构冗余结构,保证了系统的完整性。

    环球彩票登陆 6image

    最后一个是综合安全性,或称系统安全性。综合运用算法/协议/使用/实现漏洞,与网络攻击解密结合,采用技术和社会工程学对密码货币系统进行攻击,一旦国家或组织采用综合安全攻击,会对密码系统造成极大的危害。美国已经高度重视区块链的安全问题了,在去年9月通过一项7000亿美元的国防法案。

    5月25-26日,中国计算机学会青年计算机科技论坛(CCF YOCSEF)二十周年庆典暨2018青年精英大会在北京辽宁大厦隆重举办。复旦大学教授斯雪明在会上作了题为《区块链系统安全与自主可控》的报告,从区块链系统面临的安全挑战、区块链系统的数学模型及安全性分析、安全防护的解决思路与关键技术、对区块链自主可控的思考四个部分对区块链目前面临的安全挑战以及应对措施进行了阐述。九州连线整理摘取了部分内容:

    针对使用安全性,主要是对私钥生成、存储、使用进行保护,使用有效的魂币模式,对敏感数据进行加密保护。另外,我们也要选择安全的交易所,因为交易所聚集了大量的数字货币,所以很容易成为黑客或者一些敌对、恐怖组织的针对目标。

    2018-05-29 搜狐 斯雪明:区块链系统安全与自主可控

    斯雪明教授具体介绍了区块链五大安全性分析方法,分别是综合安全性分析、算法安全性分析、使用安全性分析、实现安全性分析以及协议安全性分析。并针对各安全问题,提出了相应的应对方法。

    同时,最近一段时间来密码货币的交易所进行了严峻的安全挑战。

    免责声明:TechWeb.com.cn是一个公益、共享网络平台,目的是为公众提供丰富的资讯,服务社会公众,不声明也不保证其内容的有效性、 正确性与可靠性,更不对您的投资构成建议;数字货币投资存在较大的风险与不可预知性,我们不鼓励任何形式的投资行为。网站发布的共享资讯均来自互联网,用户由于共享资讯而产生的投资行为,与TechWeb无关。

    • 比如,今年3月7日,黑客通过盗取币安交易所的API Key,在VIA/BTC交易市场,程序化下市价买单,和31个预先充值VIA币的账号高价卖VIA。通过利用盗取的币拉高VIA的价格的同时做空。这个黑客是相当的聪明。
    • 今年1月25日,日本最大的比特币交易所Coincheck遭到黑客攻击,丢失了市值多达5.3亿美元的数字货币。他们发生被盗的主要原因是他们将绝大部分资金保存在缺乏多重签名、低安全性的“热钱包”中,黑客入侵公司服务器,这些资金就会变得很脆弱。因为他们的密码会被盗取。

    针对实现安全性,需要对关键代码进行严格、完整测试,以及采用更加安全的智能合约。

    实现安全性。智能合约中存在浪子合约、自杀合约、贪婪合约、遗嘱合约等合约代码漏洞,Token生成代码漏洞容易摧毁系统的经济生态,同时,区块链实现代码漏洞、后门容易使系统受到黑客攻击。我们刚才看到,代码溢出导致BEC从超过60亿人民币的市值归零,这还是非常严重的。

    信心系统安全有三要素,分别是保密性、完整性、可用性,区块链系统也必须有三种属性。

    环球彩票登陆 7系统安全性

    2月3日斯雪明教授受邀参加了"2018年全球区块链应用创业大赛暨区块链应用研讨会",斯雪明教授受邀作了题为《区块链与系统安全》报告,对区块链系统的安全性进行了重点分析,并提出了针对性的解决方案。

    • 2016年6月17日,黑客偷取众筹过1.5亿美元的发布时自治组织以太币,导致项目失败。
    • 2016年8月2日,因为多重签名漏洞,香港的比特币交易所大约价值7000万美元的比特币被盗。
    • 2016年8月份,Krypton受到了51%算力的攻击,导致Bittrex的钱包中共21465个KR被盗。
    • 2017年12月18日,朝鲜黑客今年攻击了韩国的加密货币交织所,导致价值76亿韩元的加密货币被盗。
    • 2018年5月24日,EduCoin 智能合约爆出漏洞。通过这个漏洞,攻击者不需要私钥即可转走指定账户里所有的 EDU,并且由于合约没有 Pause 设计,导致无法止损。
    • 2018年4月22日,代码溢出导致美链BEC从超过60亿人民币的市值归零。
    • 2018年4月25日,SMT(smartmesh)因为类似的问题 ,导致币价暴跌38%,并停止交易。

    环球彩票登陆 8协议安全性

    我们刚才提到了五个措施,但是根本途径依然是要进行区块链体系结构的创新。

    环球彩票登陆 9协议安全性应对

    我们在此基础上将区块链划分成交易模块、共识模块和链接模块,对三者的相互关系进行了研究,建立了数学模型,对区块链系统的性质进行了分析。并通过模型建立对系统的状态变化进行量化,为分析区块链系统的性能、安全性等提供理论基础。

    环球彩票登陆 10实现安全性应对

    环球彩票登陆 11从区块链面临的安全挑战来看我们把它分为五个方面

    环球彩票登陆 12系统安全性应对

    区块链技术目前还处于发展的初期阶段,区块链核心技术存在很大的改进和完善空间。这对我们而言是一次非常好的机会。从2006年开始,我们提出自主可控,这时候已经比较晚了,区块链现在处在技术的初期阶段,所以我们应该抓住这个阶段提出要发展自主可控的区块链技术。

    我这里列举一些安全问题,包括私钥的生成与保护,共识过程的中心化,智能合约代码漏洞等等。

    算法安全性。

    使用安全性。智能合约等允许自主无条件提交的代码、消息等容易产生漏洞,被做坏者利用,交易所的存在,容易出现区块链资产、用户隐私信息监守自盗的问题,私钥的泄露,严重威胁用户的区块链资产安全。

    系统安全性。第一,算法、协议、实现、使用漏洞与黑客攻击结合,容易使区块链受到致命的打击;第二,社会工程学与攻击手段的结合使区块链变得更加脆弱;第三,有组织的攻击行为将对区块链安全造成极大的危害。这么多年区块链受到的攻击较少,有一个原因是早期大家读比特币不够重视。最后一点,国家控制的技术很多是不公开的,尤其是攻击技术。美国现在就在研究量子计算,公开的研究成果还不能达到实用的需求。

    协议安全性。我们要让协议能同时应对内外的攻击,就要采用能够阶段性离线的共识机制、避免目标确定的共识机制、设计防ASIC等共识运算优势明显的共识算法、加强关键节点的网络安全强度。同时,我们要改变传统区块链结构。包括采用有向无环图、哈稀图(HashGraph)、以密码抽签等方式随机性得增加共识层数、多维多重共识。

    在实现安全性方面,首先要对智能合约安全性验证,包括智能合约形式化、智能合约异构化、智能合约逻辑简化、智能合约模板丰富化等进行验证。另外要让区块链以及使用的模块做标准化处理,包括数据结构标准化、编程模式标准化、密码算法标准化、应用生态标准化。

    从区块链面临的安全挑战来看我们把它分为五个方面:算法漏洞;协议漏洞;实现漏洞;使用漏洞;系统漏洞。

    • 第一:学术界、产业界要对发展自主可控区块链形成高度共识,积极向政府建言。
    • 第二:国家层面要对区块链技术和产业发展统筹布局,并出台扶持政策,对研发自主可控区块链技术和产品团队进行重点支持。
    • 第三:学术界和产业界必须大力加强自主创新的区块链理论技术和应用的研究,为发展自主可控区块链技术和产品提供支撑。这是我们的责任。
    • 第四:必须加强自主可控区块链产品的评测和认证,确保党政机关、关键行业区块链平台的安全。
    • 第五:我们要高度重视区块链产业的生态体系建设,加强政产学研用合作,确保行业话语权,通过若干年的努力,真正建立自主可控的区块链生态体系。

    针对上述问题,我们从五个维度进行安全防护。

    在系统安全性上,有两个维度,首先是利用传统网络防御增强网络安全性,包括关闭相关端口,用硬件防火墙对DDoS等进行防御,定期进行相关信息加密传输,避免节点漏洞、病毒。第二方面,采用新型区块链架构,包括采用异构冗余智能合约、新型共识机制以及动态防御终端。异构冗余智能合约主要是在智能生成的时候,采用不同的语言,对运算结果进行比较,采访大数法则进行输出......

    本文由环球彩票登陆发布于环球彩票登陆,转载请注明出处:斯雪明教授:如何回答高发的区块链安全主题素

    关键词: 环球彩票登陆 区块 区块链 系统